Actualités

Exigences de protection des données pour la collecte de données sur la santé par des acteurs privés dans le cadre de la lutte contre la pandémie

22.01.2021 - La lutte contre la pandémie implique de plus en plus l'utilisation d'applications à installer sur les smartphones, lesquels contiennent généralement des informations importantes sur la vie numérique de leurs propriétaires. On pense notamment à SwissCovid, lancée par la Confédération, et aux « Tracing App » d'entreprises privées destinées à faciliter le traçage des contacts dans les cantons.

Maintenant que les tests rapides et les vaccins sont disponibles pour lutter contre la pandémie actuelle, plusieurs acteurs privés ont annoncé qu'ils envisageaient, le moment venu, de rendre certains biens et services accessibles uniquement aux personnes qui présenteraient des résultats de tests négatifs ou une preuve qu'elles ont été vaccinées.

Si des acteurs privés se procurent des données sur la santé de particuliers dans le contexte de la pandémie, ils doivent respecter non seulement les dispositions de droit public sur les plans de protection contre la pandémie, mais aussi celles de la loi fédérale sur la protection des données (LPD), notamment les principes de proportionnalité et de finalité. Conditionner l'accès à des biens ou services privés à la présentation de données sur la santé peut porter atteinte à la personnalité des personnes concernées. Or, conformément aux articles 28 alinéa 2 CC et 13 LPD, les atteintes à la personnalité ne peuvent être justifiées que par le consentement de la victime, par un intérêt prépondérant privé ou public, ou par la loi.

La question de savoir si la demande et l'éventuel traitement ultérieur de données relatives à des tests ou des vaccins constituent une violation de la personnalité et, le cas échéant, si elle est justifiée dépend du cas d'espèce, ce d'autant plus que ni le droit public ni le droit privé ne contiennent des règles exhaustives à ce sujet. Le PFPDT se félicite donc que les offices fédéraux compétents en la matière élaborent actuellement à l'intention du Conseil fédéral une étude sur différentes règlementations possibles et leurs conséquences.

Indépendamment de l'adoption ou non d'une règlementation, le PFPDT doit s'attendre à ce que des acteurs privés décident à tout moment d'exiger systématiquement des données personnelles, notamment en lien avec les tests et les vaccins. Il attire donc l'attention sur les exigences en matière de protection des données à respecter pour conditionner l'accès à des biens ou des services à la présentation de données personnelles :

Adéquation du traitement : conformément au principe de la proportionnalité prévu dans la LPD, l'acquisition et le traitement des données personnelles doivent être en adéquation avec la finalité poursuivie. Pour évaluer si la collecte privée et l'éventuel traitement des résultats des tests et de la vaccination sont susceptibles de contribuer de manière significative à la protection contre la transmission et la maladie, il convient de tenir compte des avis des autorités sanitaires compétentes, notamment l'Office fédéral de la santé publique, sur pertinence des tests et sur les effets de la vaccination. Les avis et les publications de ces autorités spécialisées doivent servir de bases à l'évaluation sous l’angle de la protection des données.
Exigibilité du traitement : les acteurs privés doivent renoncer à exiger des données personnelles pour les biens et les services dont il ne peut être exigé de priver les consommateurs qui ne veulent pas transmettre leurs données, sauf si l'accès à ces biens et services peut être garanti d'une autre manière.
Ampleur du traitement et sécurité des données : une fois la question de l'accès clarifiée, les données personnelles ne doivent être ni gardées ni transmises, sauf si un traitement ultérieur de ces données est absolument nécessaire, objectivement justifié ou exigé expressément par les personnes concernées. Si un traitement ultérieur est nécessaire, il doit être limité dans son ampleur et sa durée au minimum nécessaire pour lutter contre la pandémie. En outre, la sécurité des données doit être assurée par des mesures techniques et organisationnelles appropriées.
Méthode du traitement : certaines personnes ne veulent pas montrer un smartphone équipé d’une certaine application créée dans le but de lutter contre la pandémie de peur que des informations sur leur vie numérique ne soient transmises. D'autres personnes ne peuvent simplement pas le faire en raison de leur âge, de leur santé ou d'un handicap. Pour celles-ci, il convient de proposer d'autres solutions appropriées utilisables dans des conditions comparables.
Transparence du traitement : les personnes concernées doivent être informées de manière complète et compréhensible de la finalité et des modalités de la collecte et de tout traitement ultérieur de leurs données personnelles.

Le PFPDT suit l'évolution de la situation et se réserve le droit de prendre des mesures de surveillance à l'encontre des acteurs privés s'il estime que ceux-ci ne respectent pas les exigences de la LPD. Il se réserve aussi le droit de réévaluer ou compléter les exigences susmentionnées si des développements ou découvertes scientifiques l'exigent.

Recommandations du PFPDT dans le cadre du principe de la transparence

12.01.2021 - Dans le cadre du principe de la transparence, le PFPDT a émis les recommandations suivantes:

Empfehlung vom 6. Januar 2021: BAG / Informationen über Arzneimittel mit Preismodellen (PDF, 207 kB, 11.01.2021)

Empfehlung vom 4. Januar 2021: Suva / Kontrollbericht Sanierung Lötschberg-Scheiteltunnel (PDF, 163 kB, 12.01.2021)

Recommandation du 17 décembre 2020 : IFFP/ Nom d’un collaborateur (PDF, 345 kB, 21.01.2021)

Empfehlung vom 12. November 2020: BAG / Vertrag Covid-19-Impfstoff (PDF, 212 kB, 18.11.2020)

Empfehlung vom 11. November 2020: SECO / Liste besondere militärische Güter 2019 (PDF, 206 kB, 17.11.2020)

Toutes les recommandations

Collecte des coordonnées : les exploitants doivent garantir la protection des données

29.10.2020 - La collecte des coordonnées destinée au traçage des contacts est prévue par la loi. L’ordonnance COVID-19 situation particulière précise quelles sont les données qui peuvent être collectées et dans quel but. Les exploitants et les organisateurs sont cependant libres de décider de la manière dont ces données sont collectées. L’utilisation d’applications est autorisée, à condition qu’elle respecte le cadre légal de la protection des données.

Face à l’augmentation rapide du nombre de cas, les mesures de lutte contre la pandémie sont actuellement renforcées, en particulier le traçage « classique » des contacts, qui vise à interrompre les chaînes de contamination.

La loi sur les épidémies constitue la base légale permettant le traçage des contacts. L’ordonnance COVID-19 situation particulière contient quant à elle les dispositions d’exécution concernant les mesures relatives aux installations, établissements et manifestations accessibles au public.

Sur la base de ces dispositions, les exploitants d'installations et d'établissements accessibles au public ainsi que les organisateurs d'événements sont tenus, sous certaines conditions, de collecter les données de contact des visiteurs. Les catégories de données à collecter sont définies ; les données ne peuvent être collectées qu’à des fins de traçage et doivent être supprimées après 14 jours. Les cantons peuvent prévoir ponctuellement des mesures supplémentaires et donc aussi une collecte des données plus étendue, pour autant que les exigences du droit de la protection des données soient respectées.

L’ordonnance laisse expressément ouverte la manière dont la collecte de données est mise en œuvre, mais l’exploitant ou l’organisateur demeure entièrement responsable de la confidentialité des données ainsi que de la sécurité des données.
Il est ainsi autorisé de collecter des données au moyen d’une application informatique. Il existe aujourd’hui un grand nombre de ces applications, notamment dans le secteur de la restauration ou dans le cadre de manifestations. Comme pour les autres méthodes de collecte, l’utilisation d’une telle application doit s’inscrire dans le cadre de la protection des données, les exploitants et les organisateurs restant responsables de la confidentialité et de la sécurité de ces données. Ils doivent notamment s’assurer que seules les données mentionnées dans l’ordonnance sont traitées (et, le cas échéant, dans les actes édictés par les cantons à titre complémentaire) et que ces données – comme il a été dit plus haut – sont supprimées au terme d’un délai de 14 jours.

La collecte d’autres données ou l’utilisation des données à des fins autres que le traçage des contacts, comme l’envoi de publicité en ligne, n’est autorisé qu’avec le consentement des personnes concernées. On s’assurera toutefois que ces personnes sont informées expressément de ce traitement ultérieur des données et qu’elles peuvent s’y opposer à tout moment sans que cela leur porte préjudice. Comme ces applications sont souvent installées spontanément sur place lors de la visite d’installations, d’établissements ou de manifestations, toute utilisation des données collectées à des fins autres que celles qui sont prévues par la loi devrait prendre la forme d’un régime d’opt-in, prévoyant un consentement explicite.

Par ailleurs, il découle des principes généraux du droit de la protection des données que pour les personnes qui ne portent pas un téléphone mobile sur elles, un autre moyen de collecter leurs coordonnées, comme notamment des listes en papier, doit être prévu. Cette position du PFPDT est valable sous réserve d’une décision ultérieure de la part des tribunaux compétents.

Le Préposé dans l'émission "on en parle" de la radio RTS du 14 octobre 2020: Sur papier ou numérique? La complexité du traçage dans les restaurants romands

28 septembre: International Day for Universal Access to Information

28.09.2020 - La Journée internationale pour l’accès universel à l’information ou International Day for Universal Access to Information (IDUAI) a lieu aujourd’hui 28 septembre.

L'IDUAI a été créée en novembre 2015 par la Conférence générale de l'UNESCO et a été officiellement reconnue par l'Assemblée générale des Nations unies en octobre 2019.

Informations complémentaires : https://www.informationcommissioners.org/international-day-for-universal-access-to-information

Vers une protection des données modernisée

25.09.2020 - Le Parlement fédéral a adopté aujourd’hui lors duvote final la révision totale de la loi sur la protection des données (LPD). Il a ainsi été en mesure d’éliminer les dernières divergences qui se dressaient sur la voie d’une protection de la sphère privée en phase avec son temps.

Le PFPDT se félicite de l’achèvement de la révision totale de la LPD, tâche que le Conseil fédéral avait confiée au Parlement par son message il y a trois ans. La protection de la sphère privée et l’autodétermination informationnelle de la population suisse sont ainsi renforcées et adaptées à la réalité numérique.

Le PFPDT s’exprimera de matière plus détaillée sur la révision adoptée de la loi après l’expiration du délai référendaire.

Dispositions sur le traitement des données dans la nouvelle loi sur la police douanière insuffisantes

11.09.2020 - Sous l'acronyme « loi fédérale sur les tâches d'exécution de l’OFDF », le Conseil fédéral a ouvert aujourd'hui la procédure de consultation sur un paquet législatif avec lequel il entend créer la base légale du programme de numérisation et de transformation (DaziT) de l'Administration fédérale des douanes. DaziT est un grand projet financièrement important et sensible pour la protection des données. Il prévoit notamment le transfert de l'actuelle Administration douanière et du Corps des gardes-frontières intégré à celle-ci vers un office de police douanière nouvellement créé, « l’Office fédéral de la douane et de la sécurité des frontières » (OFDF). L'ensemble du personnel de cet office sera doté de pouvoirs de police et donc de la compétence pour collecter des données de manière contraignante.

Lors de la consultation des offices, le Préposé fédéral à la protection des données et à la transparence (PFPDT) a fait remarquer en vain à l'Administration fédérale des douanes que, selon lui, les dispositions prévues en matière de traitement des données personnelles présentent de graves lacunes. En particulier, ils manquent la certitude requise par la loi sur la protection des données, qui permettrait à la population d'évaluer le traitement étatique des données qui empiète sur leur vie privée et leur autodétermination, ainsi que les droits de protection dont ils disposent à cet égard.

Le Préposé a conseillé au Conseil fédéral que le Gouvernement et le Parlement, en tant qu'organes politiques de la Confédération, se réservent le droit de régler les principales caractéristiques du nouveau traitement des données à effectuer dans un système d’information unique de police douanière et les interfaces avec ce système. Dans sa forme actuelle, le projet de loi laisse au nouvel office de police douanière le soin de procéder au traitement des données personnelles dans son système, qui repose sur un grand nombre de tâches administratives, fiscales, policières et pénales, selon des règles largement autonomes et de relier les informations en fonction des besoins. Le rapport explicatif ne contient pas de justification convaincante de la nécessité de cette dérogation drastique à la législation douanière actuelle.

Ces lacunes juridiques dans le traitement des données sont aggravées par des lacunes factuelles dans les règlements. Par exemple, le concept «d'analyse de risque», qui est mentionné 44 fois, court comme un fil rouge à travers le projet de loi, sans que celui-ci ne précise suffisamment en quoi consiste ce mode de traitement, dans le cadre duquel le nouvel office de police douanière doit traiter des données personnelles sensibles concernant, entre autres, la sphère intime ou les opinions religieuses, idéologiques et politiques.

Sur la base de ces indications, le Conseil fédéral a chargé l'administration de réviser les dispositions relatives au traitement des données, ce qui est insinué dans les documents de la consultation. Le Préposé s'en félicite. Cependant, il a fait valoir en vain que la révision aurait dû être faite avant l'ouverture de la procédure de consultation.

Révision de la LAMal: PFPDT pour la transparence dans les modèles de prix

20.08.2020 - Le Préposé ne souscrit pas au projet du Conseil fédéral visant à exclure de la Loi sur la transparence les documents concernant les modèles de prix dans les médicaments.

Le Conseil fédéral a ouvert hier une consultation relative à une révision partielle de la loi sur l'assurance-maladie LAMal. Elle propose, entre autres, une exception restreignant l'accès aux documents en lien avec les modèles de prix et les remboursements dans le cadre de l'assurance obligatoire des soins. L'instauration d'une disposition spéciale garantissant le secret dans la LAMal va à l'encontre du principe de transparence, raison pour laquelle le Préposé s'est déjà prononcé contre ce projet au cours de la consultation des offices.

Dans ce contexte, le PFPDT considère qu'il est indispensable que le public conserve la possibilité de vérifier et de contrôler la procédure d'approbation des prix.

cf. art. 52c de la modification de la loi fédérale sur l’assurance-maladie

Informations complémentaires:
Modification de la LAMal : 2e volet de mesures visant à maîtriser les coûts

27^ème Rapport d'activités du PFPDT, page 75

Arrêt de la Cour de justice de l’Union européenne (CJUE) sur les clauses contractuelles types européennes et le bouclier de protection des données entre l'UE et les États-Unis (EU-US Privacy Shield)

16.07.2020 - Dans son arrêt du 16 juillet 2020 dans l'affaire C-311/18 Commissaire à la protection des données contre Facebook Ireland Ltd et Maximilian Schrems, la Cour de justice a invalidé la décision 2016/1250 sur le caractère adéquat de la protection assurée par le bouclier de protection des données entre l'UE et les États-Unis. En revanche, la décision 2010/87 de la Commission européenne relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers reste valide.

Le PFPDT a pris connaissance de l'arrêt de la CJUE. Cet arrêt n'est pas directement applicable à la Suisse. Le PFPDT va examiner le jugement en détail et le commentera en temps utile.

Lien au communiqué de presse de la CJUE

Communiqué du PFPDT du 08.09.2020: Le PFPDT estime que le bouclier de protection des données Suisse – États-Unis n’offre pas un niveau de protection des données adéquat

Update Proximity Tracing App: La sécurité technique de l’appli SwissCovid est confirmée

12.06.2020 - Après appréciation du rapport «Risk Estimation Proximity Tracing» du NCSC publié ce jour, le PFPDT confirme son évaluation selon laquelle le système suisse de traçage de proximité exploité par l’Office fédéral de la santé publique et l’appli SwissCovid respectent les exigences en matière de protection des données.

Rapport du Centre national pour la cybersécurité (NCSC)

Le PFPDT est conscient du fait que la non-divulgation de l’API (application programming interface), c’est-à-dire l’interface de programmation de Google et d’Apple relative à l’appli SwissCovid, fait l’objet de critiques publiques. Cet état de fait ne constitue toutefois pas une nouveauté. L’analyse d’impact relative à la protection des données personnelles du 1^er mai 2020 ainsi que le rapport publié ce jour par le Centre national pour la cybersécurité (NCSC) du 28 mai 2020 signalaient déjà cette non-divulgation.

Les interfaces standardisées à l’échelle mondiale avec leurs systèmes d’exploitation sous-jacents constituent la base de l’appli SwissCovid. Le code source des systèmes d’exploitation et des interfaces n’est pas disponible, ou en partie seulement. Là encore, il s’agit d’un fait connu qui ne concerne pas uniquement l’appli SwissCovid.

Le PFPDT estime que comparée à l’utilisation quotidienne par la population des appareils intelligents de Google et d’Apple, l’utilisation de l’API des deux fabricants pour l’appli SwissCovid ne représente pas un risque significativement supérieur pour les données personnelles. Et quiconque part du principe pour l’appli SwissCovid que Google et Apple ne tiendraient pas compte des restrictions d’utilisation confirmées en ignorant leur responsabilité légale et en mettant en jeu leur réputation, doit avoir à l’esprit le fait suivant: l’utilisation de l’appli SwissCovid devrait aussi – même sans l’utilisation de l’API de traçage de proximité de ces fabricants – s’appuyer sur un système d’exploitation et sur une interface Bluetooth générale de Google et d’Apple.

Quiconque se méfie généralement et systématiquement de Google et d’Apple devrait logiquement renoncer à toute utilisation d’appareils intelligents et de systèmes d’exploitation de ces derniers, et pas seulement à l’utilisation de l’appli SwissCovid, quelle que soit sa conception. La possibilité d’un tel renoncement est garantie en tout temps.

Pour toute information complémentaire, nous vous renvoyons au texte intégral de notre appréciation :

Texte intégral (en allemand) (PDF, 134 kB, 12.06.2020)

Messages précédents concernant le "proximity tracing"

Update Proximity Tracing App

13.05.2020 - L’application de traçage de proximité respecte les exigences en matière de protection des données – Prise de position conformément à l’art. 17a LPD sur l’essai pilote du système suisse de traçage de proximité (Swiss Proximity-Tracing-System, SPTS).

Le PFPDT estime que l’essai pilote du SPTS autorisé aujourd’hui par le Conseil fédéral respecte le droit de la protection des données. Les documents manquants devront être soumis au PFPDT avant la mise en exploitation.

Les mesures de surveillance et les recommandations qui s’imposeraient pendant l’essai pilote et après le passage à la mise en exploitation prévue sont réservées.

Prise de position (PDF, 244 kB, 09.10.2020)

Communiqué: le Conseil fédéral adopte l’ordonnance sur l’application de traçage de proximité

Update Proximity Tracing App

30.04.2020 - Le traitement des données en arrièrre-plan de l'application «Proximity Tracing-Application (PTAPP)» est proportionné, du point de vue du PFPDT.

En Suisse, une application de traçage de proximité «Proximity Tracing-Application (PTAPP)» basée sur l'approche décentralisée "DP-3T" doit être introduite. Même si beaucoup moins d'informations sont stockées de manière centralisée qu'avec une approche centralisée, l'architecture du système nécessite un "back-end" avec un serveur.

La Task Force Corona du PFPDT a examiné la mise en œuvre technique dans le back-end de l’application PTAPP prévue. Dans son évaluation, le PFPDT arrive à la conclusion que les traitements de données qui y ont lieu sont proportionnés. Il examine actuellement le projet d'une Ordonnance du Conseil fédéral sur l’application PTAPP et les bases légales sur laquelle elle repose.

Le PFPDT est en train d’élaborer une évaluation globale pour l’application PTAPP en forme de rapport, qui rassemblera les évaluations partielles précédentes et la complétera par d'autres aspects.

Rapport (en allemand) (PDF, 177 kB, 04.06.2020)

Update «Covid proximity tracing App»

21.04.2020 - Le PFPDT examine l'architecture du système DP-3T et exige la preuve d'une base légale suffisante.

Le PFPDT et sa Task Force Corona ont participé aux travaux de mise en œuvre de l'administration fédérale concernant une "application de traçage de proximité Covid". La mise en œuvre est basée sur le modèle "DP-3T" développé par l'EPFL, qui suit une approche décentralisée et est indépendante des développements au sein du projet européen "PEPP-PT". La Task Force Corona du PFPDT examine actuellement les aspects de protection des données de l'architecture du système développé par les autorités. En principe, le PFPDT exige en particulier la preuve d'une base légale suffisante, conformément à l'art. 17 de la loi fédérale sur la protection des données.

Le développement du projet de « Covid proximity tracing App » de l’EPFL va dans le sens du respect de la protection des données

17.04.2020 - Depuis que la task force Corona du PFPDT a procédé à une première évaluation sommaire du projet d’application de traçage numérique « Proximity Tracing », l’EPFL et ses partenaires ont poursuivi le développement de ce dernier, rebaptisé DP-3T. Le PFPDT constate qu’il présente des améliorations du point de vue de la protection des données, du fait notamment de l’approche décentralisée retenue. Il s’assurera au moment du lancement prochain de l’application que celle-ci respecte au mieux la protection des données.

La première évaluation sommaire du 02.04.2020 de la task force Corona du PFPDT concernait une version aujourd’hui dépassée du projet, laquelle prévoyait que les personnes exposées étaient alertées par un serveur central. La task force a pu depuis prendre connaissance de la nouvelle version du projet, dénommée « Decentralized Privacy-Preserving Proximity Tracing » (DP-3T), qui repose désormais sur une approche décentralisée. Il est notamment positif sous l’angle de la protection des données que le serveur central, conformément au principe de minimisation des données, ne reçoive que des clefs anonymes d’utilisateurs infectés ne permettant pas de remonter jusqu’à l’identité des personnes concernées. L’utilisateur n’est informé que localement, grâce à l’application enregistrée dans son téléphone, qu’il se trouvait à proximité d’un utilisateur infecté (et anonyme). Le PFPDT admet que les solutions centralisées et décentralisées présentent les unes comme les autres tant des avantages que des inconvénients. Cependant, du point de vue de la protection de la vie privée et compte tenu de la mise en œuvre envisagée au niveau international, il préconise globalement dans le cadre du projet DP-3T une approche décentralisée, étant entendu que seule la mise en œuvre effective permettra en fin de compte de porter un jugement définitif sur sa conformité avec le droit de la protection des données.

Dans l'intervalle, il a été annoncé que l'Office fédéral de la statistique serait le centre de données (Data Trust Center). L’Office fédéral de l’informatique et de la télécommunication développera, abritera et entretiendra l’infrastructure nécessaire. Le PFPDT, plus précisément sa task force Corona, devrait être consulté avec d’autres services à chacune des nouvelles étapes du projet. Le PFPDT continuera de veiller à ce que les exigences de la protection des données soient prises en compte de façon optimale.

Évaluation sommaire du projet de « Covid Proximity Tracing App » de l’EPFL

02.04.2020 - L’École polytechnique fédérale de Lausanne (EPFL) a demandé le 21 mars 2020 au PFPDT de soumettre à une évaluation sommaire le projet d’une « Covid Proximity Tracing App » auquel elle participe.

La Task Force « Corona » du PFPDT se félicite dans son évaluation sommaire que plusieurs mesures prévues dans le cadre du projet témoignent du souci de prendre en compte plusieurs aspects majeurs de la protection des données, ainsi le caractère volontaire de la participation au projet, le choix de ne pas utiliser de données de géolocalisation et le recours à des identificateurs temporaires. L’évaluation définitive de cette initiative à ce jour strictement privée dépendra toutefois de la forme finale du projet et de sa mise en œuvre pratique, et n’est donc pas encore possible pour l’heure.

Coronavirus: plans de protection

19.05.2020 - Le Préposé surveille la mise en œuvre des plans de protection par les entreprises privées. Il tient à ce que la collecte et la transmission de données personnelles dans le cadre de ces plans ne se fassent qu’avec le consentement des personnes concernées

Dans le cadre de l’assouplissement des mesures prises pour endiguer la pandémie de coronavirus, le Conseil fédéral a lié la reprise d’activités et la réouverture d’entreprises à l’élaboration de plans de protection (ordonnance 2 COVID-19; RS 818.101.24), cf. les recommendations de l'OFSP pour les milieux professionnels et les écoles.

Les entreprises sont responsables de la mise en œuvre des plans de protection. Si elles traitent des données personnelles (de clients, de membres, d’employés, etc.) dans ce contexte, elles sont soumises à la surveillance du PFPDT. Celui-ci veille à ce que les entreprises respectent les principes de la loi fédérale sur la protection des données, tout particulièrement le principe de proportionnalité. Les entreprises de certaines branches et d’une certaine taille disposent de services juridiques et de conseillers à la protection des données qui contribuent à la mise en œuvre conforme à la loi des plans de protection.

Le PFPDT tient à ce que la collecte et la transmission de données personnelles dans le cadre des plans de protection ne se fassent qu’avec le consentement des personnes concernées, sans que celles-ci subissent des pressions indirectes. En aucun cas ces personnes ne doivent être incitées à communiquer des données personnelles pour pouvoir jouir de certaines prestations ou avantages.

Le PFPDT estime que la collecte et la transmission de données personnelles obtenues au moyen de pressions indirectes constituent une atteinte à la sphère privée et à l’autodétermination des personnes concernées en contradiction flagrante avec le principe de proportionnalité. Des prescriptions en matière de traitement des données, reposant sur des bases légales suffisamment précises du droit public de la Confédération ou des cantons, sont indispensables.

Update Libra

20.04.2020 - L’Association Libra informe qu’elle a soumis une demande d'autorisation à la FINMA et intensifie les travaux sur le concept de protection des données.

Le 16 avril 2020, l'Association Libra a informé le PFPDT qu'elle avait déposé auprès de la FINMA une demande d'autorisation en tant que système de paiement (cf. les informations publiées par la FINMA). Elle a également communiqué au PFPDT que les travaux sur le concept de protection des données étaient en cours et s'étaient intensifiés.

Messages précédents concernant le projet Libra

4^e mise à jour concernant le projet Libra

19.09.2019 - À l’occasion d’une rencontre à Berne avec le PFPDT, la Libra Association a réitéré son engagement à développer un standard de protection des données uniforme pour le système. L’association impliquera rapidement le PFPDT dans ses travaux de développement en cours afin de respecter dès le départ les exigences de protection de données.

Après que la Libra Association a remis dans les délais des informations complémentaires sur le projet Libra, une rencontre personnelle a eu lieu à Berne le 17 septembre 2019 entre le PFPDT et les représentants de la Libra Association.

La Libra Association a réitéré son engagement à développer un standard de protection des données uniforme pour le système. Ceci correspond aux attentes du PFPDT, qui veut assurer un haut niveau de protection des données personnelles des utilisatrices et utilisateurs.

La Libra Association impliquera rapidement le PFPDT dans ses travaux de développement en cours afin de respecter dès le départ les exigences de protection de données (privacy by design). Elle procédera à une analyse d’impact et prendra les mesures nécessaires à la mise en place du standard uniforme de protection des données, y compris des mesures organisationnelles comme la création d’un service responsable de la protection de données.

3^e mise à jour concernant le projet Libra

23.08.2019 - L’Association Libra a, dans le délai imparti, fait parvenir au PFPDT la première partie des documents demandés. D'autres documents et explications suivront dans les semaines à venir.

Ces informations serviront de base à l'examen par le PFPDT de sa compétence ainsi qu’à la planification de ses activités futures. Le PFPDT informera le public en temps utile du résultat de son examen et des mesures prises le cas échéant.

Le PFPDT participera à une réunion prochaine avec le U.S. House Committee on Financial Services et informera personnellement sur l'état actuel de la procédure en cours.

2^e mise à jour concernant le projet Libra

06./08.08.2019 - Les autorités britanniques et d'autres autorités de protection des données ont publié une déclaration commune demandant aux promoteurs de Libra de faire preuve d'une plus grande transparence concernant le projet. Le PFPDT est en contact avec le Comité Européen de la Protection des Données (CEPD) et la Conférence Internationale des Commissaires à la Protection des Données et de la Vie Privée (ICDPPC).

Le PFPDT, comme toutes les autres autorités de protection des données, est concerné par le projet Libra et son réseau mondial et souhaite soutenir la communauté mondiale des autorités de protection des données dans leurs efforts conjoints pour protéger la population. Il est donc en contact avec le CEPD et l'ICDPPC.

Par ailleurs, le PFPDT, en tant qu'autorité de protection des données au siège suisse de Libra Association à Genève, doit remplir ses tâches légales. A ce titre, le PFPDT a engagé une procédure officielle pour clarifier sa compétence à l'égard de l'Association basée à Genève. Cette dernière a maintenant désigné un cabinet d'avocats suisse et a accepté de fournir des informations plus détaillées sur le projet, comme l'a demandé le PFPDT dans sa lettre du 17 juillet 2019. Le PFPDT analysera d'abord ces informations assurées afin d'évaluer dans quelle mesure ses compétences de conseil et de surveillance s'appliquent. Ce n'est qu'alors qu'il pourra se joindre à toute déclaration ou prendre position sur le projet Libra et son réseau dans son ensemble.

Joint Statement of DPA's (en anglais) (PDF, 306 kB, 06.08.2019)

1^ère mise à jour concernant le projet Libra

29.07.2019 - L'Association Libra a répondu à la lettre du PFPDT du 17 juillet 2019 et a promis une réponse rapide. Elle rencontrera le PFPDT dans les prochaines semaines pour s'entretenir avec lui. Le PFPDT informera le public des prochaines étapes dès qu'il aura analysé l'information promise et obtenu un aperçu de l'état actuel du projet.

Lien au communiqué du 23.07.2019

Lettre du 17 juillet 2019 (PDF, 1 MB, 29.07.2019)

Mesures de sécurité pour les conférences audio et vidéo

15.04.2020 - La crise du virus coronaire a chambardé nos habitudes et nos comportements du jour au lendemain, en l’occurrence en nous empêchant de rencontrer nos proches ou d’avoir des réunions avec nos collègues. Les particuliers et les entreprises ont été contraints de trouver rapidement des solutions pour communiquer par conférences audio et vidéo. Même si cela s’est parfois fait à la hâte, les réunions professionnelles, les conversations avec les enfants et les grands-parents et même les petites rencontres festives ont pu être transposées dans le monde virtuel. Il est néanmoins important de veiller à la sécurité des informations et à la protection des données dans le cadre de ces conférences.

Le PFPDT recommande dans le présent feuillet thématique de prendre des mesures pour utiliser de la manière la plus sûre possible les solutions adoptées dans l’immédiat dans le cadre du confinement dans un premier temps. Plus tard, ou déjà lors de cette utilisation, il est recommandé d’analyser, en se fondant sur le droit de la protection des données, les risques que présentent les services et produits disponibles, ce qui permettra éventuellement d’opter pour un produit plus approprié. Vous trouverez ci-dessous des instructions pour choisir et mettre en œuvre une solution respectueuse de la protection des données.

Le feuillet thématique énumère certaines règles à appliquer dans la sphère professionnelle comme privée.

Feuillet thématique: Mesures de sécurité pour les conférences audio et vidéo (PDF, 165 kB, 15.04.2020)

Informations supplémentaires
Liste de produits pour la collaboration par voie numérique sur le site du Préposé à la protection des données du canton de Zurich (en allemand)

Mise à jour - Protection des données dans le cadre de l’endiguement du coronavirus :

L’accès de l’OFSP aux données visualisées de Swisscom est conforme au droit de la protection des données

03.04.2020 - Le PFPDT a prié Swisscom le 25 mars 2020 de prendre position sur l’accès qu’elle a donné à l’OFSP à ses données. Après examen des informations fournies par Swisscom, le PFPDT retient que Swisscom permet à l’OFSP d’avoir accès uniquement à des données anonymisées. Le PFPDT a demandé à Swisscom de fournir au public des informations plus détaillées sur la procédure de traitement des données. Swisscom a répondu à cette demande et a préparé des FAQ sur le traitement des données en question.

Swisscom utilise sa plate-forme Mobility Insights (MIP) pour traiter des statistiques de groupe anonymisées au moyen de données de mobilité agrégées en vue d’évaluer les comportements de mobilité sur le territoire suisse. Les évaluations visualisées de Swisscom rendues accessibles à l’Office fédéral de la santé (OFSP) avec un décalage d’au minimum 8 heures doivent permettre à l’OFSP de vérifier si des personnes se sont encore rassemblées en grand nombre en Suisse, dans le cadre de la lutte contre la pandémie. Ces visualisations montrent comment la présence de possesseurs de téléphones portables évolue dans le temps dans un espace de 100 mètres sur 100, pour autant que plus de 20 appareils associés à un abonnement Swisscom soient présents dans cet espace.

Le PFPDT a prié Swisscom le 25 mars 2020 de prendre position sur l’accès qu’elle a donné à l’OFSP à ses données, ce qu’elle a fait par lettre du 27 mars 2020 et avec une prise de position complémentaire du 2 avril 2020. Après examen des informations fournies par Swisscom et compte tenu de ce qu’il savait déjà suite à plusieurs échanges de Swisscom consacrés à des situations similaires, le PFPDT retient ce qui suit :

Swisscom procède dès que c’est techniquement possible à la pseudonymisation des données de localisation (« hash »), puis à leur agrégation.
Les mesures organisationnelles ne sont pas décrites. Toutefois, il n'y a actuellement aucune raison de supposer qu'il y a des défauts évidents, d'autant plus que la plate-forme MIP est un produit qui est exploité depuis plusieurs années.
Swisscom met à la disposition de l'OFSP des informations visualisées par MIP, mais ni données en clair ni données pseudonymisées ayant servi à produire des visualisations au moyen de la plate-forme MIP.
Les résultats (visualisation des données de localisation agrégées) auxquelles Swisscom donne accès à l’OFSP est anonyme.

Cela signifie que Swisscom permet à l’OFSP d’avoir accès uniquement à des données anonymisées. Le PFPDT estime que le traitement des données opéré par Swisscom et les transferts de données anonymes à l’OFSP ne contreviennent pas au droit de la protection des données.

Considérant les documents qui lui ont été communiqués, le PFPDT ne voit aucune raison de douter que Swisscom se conforme au traitement des données tel qu’il a été exposé dans les avis du 27 mars et du 2 avril 2020. Il a certes reçu des indications accusant Swisscom, mais rien n’a permis de démontrer ces allégations. Il n’existe à ce jour aucun élément qui doive amener le PFPDT à ouvrir une procédure formelle d’établissement des faits selon l’art. 29 LPD.

Le PFPDT estime cependant que les informations accessibles au public sur la collaboration entre l’OFSP et Swisscom et sur les traitements de données qui y sont associés sont rares et difficiles à trouver. Aussi a-t-il invité Swisscom à publier des informations plus détaillées sur ces traitements de données. Swisscom a répondu à cette demande et a préparé des FAQ sur l'utilisation de la plate-forme Mobility Insights par l'Office fédéral de la santé publique (OFSP).

L'évaluation du PFPDT est publiée.

Évaluation du transfert des données Swisscom à l'OFSP (PDF, 164 kB, 03.04.2020)(en allemand)

FAQ concernant l'utilisation de la plate-forme MIP par l'OFSP (PDF, 689 kB, 22.04.2020)(en français)

27.03.2020 - Hier, le PFPDT a été informé par l'Office fédéral de la santé publique (OFSP) de la collaboration en cours avec Swisscom pour lutter contre la pandémie (voir communiqué de l'OFSP du 26.03.2020).

Dans l'intervalle, le PFPDT a reçu de l'OFSP et de Swisscom des documents pertinents sur le sujet. Tous deux ont également assuré le PFPDT qu'à l'avenir, ils le tiendront informé en permanence des projets relatifs à la protection des données dans le cadre de la lutte contre la pandémie.

Le groupe de travail interne du PFPDT "Corona", créé le 24 mars 2020, analyse actuellement ces documents. Il y a quelques jours déjà, deux initiatives privées pour des projets numériques contre de nouvelles infections ont été soumises au PFPDT. Celles-ci font également l'objet d'une première analyse sommaire de la protection des données par notre groupe de travail.

Protection des données dans le cadre de l’endiguement du coronavirus

17.03.2020 - Les autorités, en coopération avec les institutions de santé, font tout leur possible pour endiguer la propagation rapide du coronavirus. Dans la mesure où des personnes privées (en particulier des employeurs) traitent des données personnelles pour lutter contre la pandémie, les principes énoncés à l'article 4 de la loi fédérale sur la protection des données doivent être respectés.

1. Traitement des données par les établissements de soins

Après que le Conseil fédéral a déclaré la situation qui prévaut actuellement en Suisse de « situation extraordinaire » au sens de l'art. 7 de la loi sur les épidémies (art. 7 LEp), les autorités fédérales, cantonales et communales continuent à travailler en collaboration avec les institutions de santé publique pour lutter contre la pandémie actuelle de coronavirus.

L'Office fédéral de la santé publique (OFSP), les autorités cantonales compétentes et les institutions publiques et privées qui accomplissent des tâches en vertu de la LEp traitent des données personnelles sur la santé conformément aux dispositions de la section 2 de la LEp, dans la mesure où cela est nécessaire pour identifier les personnes malades, présumées malades , infectées, présumées infectées, en vue de prendre des mesures de protection de la santé publique. Ce faisant, ils veillent au respect des législations fédérale et cantonale en matière de protection des données. Les hôpitaux et autres établissements de soins publics ou privés, ainsi que les laboratoires et le personnel médical, sont également soumis à des obligations de déclaration spéciales en vertu de la LEp.

2. Traitement des données par des personnes privées

Dans la mesure où la société civile, en particulier les employeurs, traitent des données personnelles pour lutter contre la pandémie, le traitement doit être effectué dans le respect des principes énoncés à l'article 4 de la loi fédérale sur la protection des données :

Les données relatives à la santé doivent être considérées comme sensibles et, ne peuvent en principe être obtenues par des personnes privées contre la volonté des intéressés.
En outre, les traitements des données relatives à la santé par des personnes privées doivent être effectués de manière conforme aux principes de finalité et de proportionnalité. Cela signifie qu'ils doivent être nécessaires et appropriés en vue de prévenir de nouvelles infections et qu’ils ne doivent pas aller au-delà de ce qui est nécessaire pour atteindre cet objectif.
Dans la mesure du possible, les données pertinentes sur les symptômes de la grippe, comme la fièvre, doivent être collectées et transmises par les personnes concernées elles-mêmes.
La collecte et l’utilisation ultérieure de données relatives à la santé par des tiers privés doivent être communiqués aux personnes concernées afin que ces dernières comprennent le sens et la finalité ainsi que la portée du traitement quant à son contenu et sa durée.

3. Température du corps et suivi

Dans la mesure où des personnes privées collectent des données médicales telles que la température corporelle à l’entrée de bâtiments ou de lieux de travail dans le but de prévenir une contamination, le traitement de ces données doit être, en termes de contenu et de durée, limité au minimum nécessaire pour atteindre cette finalité. L'information et l'autodétermination des personnes concernées doivent être respectées lors de la collecte des données. Dans ce contexte, répondre à des questions détaillées sur l'état de santé à des personnes qui ne sont pas des professionnels de la santé s'avère inapproprié et disproportionné.

Il en va de même pour les données à caractère personnel traitées par des particuliers dans le cadre de mesures opérationnelles et organisationnelles visant à prévenir une contamination. Au plus tard lorsque la menace de pandémie a cessé d'exister, ces données doivent être intégralement supprimées.

Si l'utilisation de technologies numériques pour la collecte et l'analyse de données sur la mobilité et de données de proximité est envisagée, celle-ci doit s'avérer proportionnée à l'objectif de prévention de la contamination. Ce n’est le cas que le recours à ces méthodes est pertinent d’un point de vue épidémiologique et propre à avoir un effet justifiant une atteinte à la personnalité des personnes concernées afin de contenir la pandémie, en tenant compte du stade actuel de celle-ci.

Mise à jour concernant Clearview

10.03.2020 - Les autorités policières fédérales n'utilisent pas de logiciel de reconnaissance faciale.

Dans sa communication du 11.02.2020 (voir ci-dessous), le PFPDT a expliqué en détail pourquoi il considère que la collection de données faciales sans le consentement des intéressés constitue une atteinte à leur personnalité.

En réponse à notre enquête (voir ci-dessous), les directions de Fedpol, de l’AFD et du SRC ont confirmé qu'elles n'utilisent ni n'ont l'intention d'utiliser un logiciel tel que Clearview dans leurs activités. Toutefois, Clearview n'a pas encore répondu à la demande de renseignement et de suppression du Préposé datée du 24 janvier 2020, raison pour laquelle il a adressé un avertissement à l'entreprise.

Messages précédents concernant la reconnaissance faciale

Collecter des données faciales sans le consentement des intéressés constitue une atteinte à leur personnalité

11.02.2020 - En complément de sa déclaration concernant l’application Clearview, le PFPDT précise sa position quant à la collecte massive et au traitement de données faciales disponibles en ligne.

Même si les données faciales ne sont pas en soi des données sensibles au sens de l’art. 3, let. c, de la loi fédérale sur la protection des données (LPD), la collecte massive de données faciales disponibles en ligne constitue une atteinte à la personnalité au sens de l’art. 12, al. 2, let. a, LPD si elles font l’objet d’un traitement qui contrevient aux principes énoncés aux art. 4, 5, al. 1, et 7, al. 1, LPD. Ainsi, collecter massivement et sans le consentement des intéressés des données faciales et les traiter à des fins qui n’ont pas été communiquées lors de cette collecte, qui ne ressortent pas des circonstances et qui ne sont pas non plus prévues par la loi, est contraire aux principes de la transparence, de la proportionnalité et de la finalité.
Ces principes s’appliquent à tous les traitements de données qui concernent des personnes en Suisse, que les données aient été collectées sans leur consentement en Suisse ou non, manuellement ou de manière automatisée.

Télécharger des données faciales sans le consentement des intéressés est difficilement justifiable
Si une personne confie ses données faciales à un réseau social qui interdit dans ses conditions d’utilisation toute forme de collecte automatisée des données ou crawling, on peut en déduire que cette personne interdit elle aussi formellement tout traitement de ses données par un tiers. En conséquence, tout téléchargement de données faciales effectué sans le consentement des intéressés par un tiers depuis ce réseau social doit être considéré comme constituant une atteinte illicite à la personnalité si leur traitement n’est pas justifié par un intérêt prépondérant privé ou public ou par la loi, conformément à l’art. 13 LPD. Il devrait être difficile dans la pratique de faire valoir un tel motif justificatif.

Pas de comparaison d’images faciales sans le consentement des intéressés
Selon l’art. 13, al. 1, LPD, il n’y a pas en règle générale d’atteinte à la personnalité lorsque les intéressés ont rendu leurs données accessibles à tout un chacun et qu’ils n’ont pas formellement interdit leur traitement. Tel n’est cependant pas le cas lorsque, comme cela a été indiqué ci-dessus, les données faciales des intéressés sont comparées au mépris du principe de la transparence avec des données collectées sans leur consentement sur un réseau social ou un site internet. Aussi le Préposé recommande-t-il de s’abstenir de procéder à des comparaisons d’images faciales sans s’être assuré du consentement des intéressés.
Constituer une base centralisée de données biométriques et mettre celle-ci à la disposition notamment des autorités de poursuite pénale pour leur permettre de procéder à des comparaisons, contrevient gravement au principe de la transparence parce que ce type de traitement va bien au-delà de ce que permet normalement un moteur de recherche et que les personnes dont les images faciales sont ainsi utilisées sans leur consentement ne peuvent se douter que leurs données font l’objet d’un pareil détournement de finalité.

Les responsables du traitement des données et les opérateurs de réseaux sociaux doivent prendre leurs responsabilités
Si un réseau social veut délibérément communiquer à un tiers des données faciales, cette communication doit être conforme et aux paramètres de confidentialité sélectionnés par les intéressés et aux conditions d’utilisation. Si ces données sont collectées par un tiers sans que le réseau social ait donné son accord, cela constitue une fuite incontrôlable de données (data breach), dont doivent répondre non seulement les responsables du traitement des données, mais aussi les opérateurs de réseaux sociaux vis-à-vis de leurs utilisateurs. Enfin, si ces données sont collectées ou communiquées à un tiers par un utilisateur du réseau social, cela constitue une violation des conditions d’utilisation, dont doivent répondre et l’utilisateur et l’opérateur du réseau social concerné.
Conclusion : collecter des données faciales sans le consentement des intéressés en vue de les traiter au moyen de technologies automatisées de reconnaissance faciale ne saurait s’accorder dans la pratique avec les principes établis par la LPD pour le traitement des données. Aussi de tels traitements doivent-ils en règle générale, soit reposer sur une base légale conforme à la Constitution s’ils sont le fait d’une autorité publique, soit avoir été consentis par les intéressés s’ils sont effectués par une personne privée.

Que fait le Préposé ?
Au-delà des investigations concrètes qu’il a menées dans l’affaire Clearview (voir sa déclaration du 21.01.2020 ci-dessous), le Préposé fera usage de tous les moyens que lui confère la loi pour protéger la population suisse contre le téléchargement non consenti d’image faciales. Il continuera par ailleurs de tout mettre en œuvre pour que la population suisse puisse se déplacer en tout anonymat dans l’espace public, que ce soit à pied ou de toute autre manière.

Déclaration du PFPDT concernant l’application Clearview

21.01.2020 - Le PFPDT a pris connaissance de l’article du New York Times du 18 janvier 2020 consacré à l’application privée Clearview et se prononce comme suit sur celle-ci:

Des données faciales librement accessibles sur Internet permettent, par recoupement avec des données personnelles, telles que des noms, des lieux ou des adresses, de remonter à des milliards de personnes dans le monde entier.
Au vu des risques qu’ils encourent du point de vue de la protection de leur sphère privée, le PFPDT recommande à tous les utilisateurs des réseaux sociaux de paramétrer leur compte de sorte à empêcher que des moteurs de recherche puissent accéder à leurs photos.
Le PFPDT estime que le fournisseur de Clearview, en collectant des données faciales, viole la sphère privée des personnes concernées en Suisse et qu’il ne respecte pas les conditions d’utilisation des réseaux sociaux.
Dans ce contexte, le PFPDT recommande aux particuliers et aux autorités en Suisse de ne pas traiter de données collectées au moyen de Clearview. Il entreprendra les démarches nécessaires auprès des autorités de poursuite pénale de la Confédération.
Le PFPDT demandera à Clearview des renseignements sur les données collectées et la destruction de celles-ci, en lieu et place des personnes concernées en Suisse. Il informera le public de la manière dont Clearview donnera suite à sa requête.

Nos recommandations à l’usage des utilisateurs de réseaux sociaux:

Explications concernant les sites de réseautage social

Monitoring des medias sociaux et protection des données

Publication de photgraphies

Explications relatives aux Big Data (données massives)

Quelles sont les conséquences du Brexit dans le domaine des flux transfrontières de données ?

31.01.2020 - Après le référendum sur la sortie du Royaume-Uni de l’Union européenne (Brexit), qui s’est tenu en juin 2016, le gouvernement britannique a annoncé sa décision de quitter l’UE. Le retrait a lieu le 31 janvier dernier.

Transmission de données personnelles à l’étranger selon la loi sur la protection des données (LPD) en vigueur
La transmission de données à l’étranger est régie par l’art. 6 LPD. Cet article prévoit que des données ne peuvent être communiquées à l’etranger qu’à la condition que le pays de destination connaisse un niveau de protection des données adéquat (art. 6, al. 1, LPD) ou alors, en l’absence d’une telle réglementation, qu’il connaisse des dispositions ou des garanties suffisantes (art. 6, al. 2, let. a et g, LPD). En vertu de l’art. 31, al. 1, let. d, LPD, le préposé à la protection des données (préposé) peut déterminer si le niveau de protection dans un pays donné est adéquat et permet la transmission de toutes les données, ce qui est le cas en particulier lorsque le destinataire des données est soumis à une loi qui offre un niveau de protection comparable à celle du droit suisse (garantie des droits de la personne concernée, respect des principes fondamentaux, autorité de surveillance indépendante). Une liste des pays qui répondent à ces exigences est publiée sur le site du préposé. Cette liste est régulièrement mise à jour.

Royaume-Uni et Gibraltar
Le Royaume-Uni et Gibraltar font actuellement partie des États dont la législation assure un niveau de protection adéquat et le préposé ne dispose pas d’indices qui pourraient laisser prévoir un changement de statut. En prévision du Brexit, l’autorité britannique de protection des données personnelles (Information Commissioner’s Office, ICO) a indiqué sur son site qu’après le 1er février 2020, le Royaume-Uni continuerait d’offrir un degré élevé de protection des données personnelles.

Si le préposé devait contre toute attente envisager de modifier sa liste quant au statut du Royaume-Uni et de Gibraltar, il informerait les entreprises en temps voulu de manière à ce qu’elles puissent se préparer en concluant des accords types.

L’UE décidera d’ici la fin de l’année si elle reconnaît l’adéquation de la législation sur la protection des données du Royaume-Uni. Le préposé suit l’évolution de la situation avec attention.

Informations supplémentaires :

PFPDT, Transmission à l’étranger

DFAE, Direction des affaires européennes : FAQ Brexit

ICO, Statement on data proteciton and Brexit implementation

ICO, Protection des données et Brexit

Commission européenne, UKTF, La task-force pour les relations avec le Royaume-Uni

La deuxième chambre conclut la consultation sur la loi fédérale à la protection des données (LPD)

18.12.2019 - Le PFPDT salue l’achèvement par le Conseil des Etats de la consultation concernant la révision totale de la Loi sur la protection des données (LPD) et la large reprise des améliorations proposées par sa commission face à la version du conseil national.

Le Conseil des Etats examinera la loi sur la protection des données à la session d’hiver

20.11.2019 - Le PFPDT se félicite du fait que, dans le peu de temps disponible jusqu'à la fin de la session, la Commission des institutions politiques du Conseil des Etats (CIP-E) a réussi à adopter un texte législatif à l'attention du plénum du Conseil des Etats qui est prêt à être consulté et qui améliore sensiblement la version du Conseil national.

Communiqué de la CIP-E

Voir aussi:

30.08.2019 - LPD : le Conseil national se penchera le premier sur le projet de révision totale

Facebook lance de nouvelles fonctionnalités à l’occasion des élections fédérales

17.10.2019 - A partir du 19 octobre 2019, un jour avant les élections, Facebook lancera sur sa plateforme de nouvelles fonctionnalités pour les électeurs suisses. L’entreprise l’a confirmé au Préposé fédéral à la protection des données et à la transparence (PFPDT), lequel se félicite des efforts de celle-ci en matière de transparence.

Ayant appris par les médias que Facebook avait l’intention de lancer différentes fonctionnalités, tel un bouton de vote, pour ses utilisateurs en vue des élections fédérales de 2019, le PFPDT a invité l’entreprise à prendre position.

Le PFPDT a rappelé dans sa lettre qu’en vertu notamment des ch. 5.3 et 7 de son guide, les opérateurs de réseaux sociaux sont également tenus d’informer les personnes concernées de manière juste et complète sur le traitement de leurs données et le fonctionnement des méthodes d’analyse utilisées. Cette transparence est indispensable pour que les électeurs puissent évaluer la manière dont les applications traitent leurs données et exercent une influence sur la formation de leur opinion ou leur comportement électoral.

Facebook Ireland Ltd. a confirmé que les fonctionnalités pertinentes seraient mises en service sur leur plateforme le jour précédant les élections et le jour de celles-ci. Facebook prévoit de rappeler la date de l'élection à tous les utilisateurs de Facebook âgés de 18 ans et plus en Suisse. L’entreprise ne ciblera pas des groupes ou des personnes en particulier.

Selon les garanties données par Facebook par écrit, les fonctionnalités offertes n’ont pas d’autre but que de sensibiliser ses utilisateurs aux élections et, en fin de compte, d’augmenter la participation, car les utilisateurs pourront par exemple poster dans leur profil qu’ils ont voté. Facebook souligne que les opinions politiques des utilisateurs ne seront pas traitées.

Facebook a par ailleurs démontré son respect des exigences en matière de transparence formulées dans notre guide. Les personnes concernées pourront s’informer de manière approfondie, au moyen d’hyperliens, sur les fonctionnalités, les méthodes de traitement et les données traitées (cf. liens suivants: Politique d’utilisation des données de Facebook; Contrôler qui peut voir ce que vous partagez; Pourquoi est-ce que je vois un rappel au sujet d’une élection et d’un vote sur Facebook ? Quelles données la plateforme Facebook utilise-t-elle pour présenter des informations relatives aux élections et aux collectivités publiques ?).

La révision totale de la LPD est transmise à la Commission du Conseil des Etats

25.09.2019 - Suite au traitement par le Conseil national de la révision totale de la loi sur la protection des données (LPD) en tant que première chambre, le PFPDT espère que la deuxième chambre puisse de son côté débattre de ce projet lors la session d'hiver et améliorer encore la protection de la population suisse en l’alignant aux standards européens.

30.08.2019 - LPD : le Conseil national se penchera le premier sur le projet de révision totale

Différend fiscal américain - Le Tribunal administratif fédéral protège les droits fondamentaux

10.09.2019 - Par jugement du 3 septembre 2019, le Tribunal administratif fédéral (TAF) a admis le recours du PFPDT contre la décision de l'Administration fédérale des contributions (AFC) et le Département fédéral des finances (DFF). Dans son arrêt, la Cour conclut que dans le domaine de l'assistance fiscale internationale, les personnes qui ne sont pas formellement concernées par la demande d'assistance administrative doivent en principe être informées à l'avance de la transmission de leur nom, conformément à la loi sur l'assistance fiscale.

Le tribunal suit donc la recommandation du PFPDT de caviarder ces noms et d'accorder le droit d'être entendu avant la transmission des données. Le Préposé se réjouit de ce jugement, car il protège les droits fondamentaux des employés des banques et d'autres tiers. Il s'attend maintenant à ce que l’AFC trouve des solutions conformes à la protection des données.

Le TAF ordonne aux autorités compétentes d'exécuter le jugement et de régler les exceptions de manière appropriée. L’arrêt n'est pas encore entré en force.

Arrêt du TAF (en allemand)

LPD : le Conseil national se penchera le premier sur le projet de révision totale

30.08.2019 - Après avoir étudié le message du Conseil fédéral du 15 septembre 2017 concernant la révision totale de la loi fédérale sur la protection des données, la Commission des institutions politiques du Conseil national a décidé le 15 août 2019, la voix prépondérante du président ayant permis de trancher, de soumettre le projet au Conseil national, prioritaire en l’occurrence.

La proposition à l’intention du Conseil comprend de nombreuses dispositions qui, dans leur version modifiée par la majorité de la commission, assurent une protection des données moins élevée que dans les États européens voisins et, à certains égards, moins élevée que celle prévue dans la loi sur la protection des données de 1992.

Lors des délibérations publiques des 24 et 25 septembre 2019, le Conseil national pourra comparer les versions des majorités et des minorités de la commission, étudier leurs arguments et décider s’il veut améliorer le niveau de protection des données dont bénéficie la population suisse et l’aligner sur les normes européennes.

Le dépliant avec les propositions de la Commission des institutions politiques du Conseil national pour la révision de la loi fédérale sur la protection des données a été publié.

Postfinance : inégalité de traitement des clients suisses en vertu du droit en vigueur

30.08.2019 - Postfinance SA a confirmé par courrier le 13 juin 2019 que, pour ne pas être soumis à l’authentification par empreinte vocale, ses clients suisses devraient continuer de lui signifier expressément leur refus. Les clients étrangers doivent quant à eux donner expressément leur accord pour y être soumis. L’inégalité de traitement sur laquelle le PFPDT a attiré l’attention lors de l’émission de la SRF 10vor10 du 20 mai 2019 a dès lors encore cours aujourd’hui.

Postfinance SA a répondu au PFPDT que cette différence de traitement s’expliquait par le fait que les clients suisses n’étaient pas soumis au même droit que les clients étrangers et que seul le législateur pouvait décider de reprendre des normes étrangères en droit interne. Postfinance SA a affirmé qu’elle continuerait de traiter les clients suisses différemment aussi longtemps que le droit suisse de la protection des données n’aura pas été aligné sur les normes de l’UE.

26^e Rapport annuel 2018/19: la Suisse doit maintenir son niveau de protection des données

18.06.2019 - Le PFPDT attend que le Conseil fédéral et le Parlement garantissent à la popula-tion suisse un niveau de protection des données toujours équivalent à celui de l’Europe par la signature prochaine de la convention 108 du Conseil de l’Europe et l’adoption rapide de la révision totale de la loi sur la protection des données.

Communiqué aux médias

Télécharger le e-paper

Helsana+: le jugement entre en force

15.05.2019 - La décision du 19 mars 2019 du Tribunal administratif fédéral dans l’affaire Helsana+ n’a pas été attaquée pendant le délai de recours. Elle est donc définitive. Le Tribunal administratif fédéral s’est prononcé sur des questions de droit importantes. Le PFPDT suivra leur mise en œuvre par Helsana.

Communiqué du PFPDT

Helsana+: la collecte de données auprès de l'assurance de base était illégale

29.03.2019 - Arrêt du Tribunal administratif fédéral du 19 mars 2019: Helsana Assurances complémentaires SA a traité illégalement des données personnelles provenant des assurances de base pour son programme de bonus Helsana+. Selon l’arrêt du tribunal, les autres traitements de données sont licites, puisqu’ils ne violent aucune disposition protégeant la personnalité.

Communiqué du PFPDT

Communiqué du TAF

Arrêt A3548/2018 (en allemand)

Recommandation du PFPDT du 27.04.2018

Nouvelle LPD Schengen en vigueur

01.03.2019 - Le Parlement ayant scindé la révision de la loi sur la protection des données, le premier volet, à savoir la loi sur la protection des données Schengen (LPDS), est entré en vigueur le 1er mars 2019. Cette adaptation de la législation suisse au droit européen, qui était nécessaire à l’intégration de l’acquis de Schengen, est conçue comme une loi de transition et comprend diverses nouvelles dispositions. Le préposé fédéral à la protection des données et à la transparence (PFPDT) obtient ainsi dans le cadre de la mise en œuvre de l’acquis de Schengen en matière pénale de nouvelles compétences d’enquête et de décision.

Continuer...

Journée de la protection des données 2019 - 3 priorités pour la Confédération et les cantons: élections, police, numéro AVS

28.01.2019 - Communiqué des autorités de protection des données de la Confédération et des cantons:

Communiqué de presse (PDF, 352 kB, 29.01.2019)

2^e Journée du digital – Les entreprises doivent investir dans des technologies conformes aux exigences de la protection des données

23.10.2018 - Les entreprises doivent investir dans des technologies favorables au respect de la vie privée et proposer un véritable choix à leurs clients. Tel est le souhait du Préposé fédéral à la protection des données et à la transparence, à l’occasion de la 2^e Journée suisse du digital. Il appelle les entreprises à mettre leur force d’innovation également au service de l’autodétermination de leurs clients.

Si les entreprises investissent énormément de capitaux dans la numérisation, il serait souhaitable, pour le Préposé fédéral à la protection des données et à la transparence Adrian Lobsiger, à l’occasion de la 2e Journée suisse du digital, qu’elles exploitent leur force d’innovation également aux fins d’assurer l’autodétermination à leurs clients. Ceux-ci doivent pouvoir décider eux-mêmes dans quel but leurs données peuvent être transmises et dans quel cas elles doivent rester confidentielles. Les entreprises doivent donc investir dans des technologies qui permettent de proposer un vrai choix aux utilisateurs.

Le PFPDT attend d’un État de droit démocratique qui collecte des données en grandes quantités qu’il garantisse la sphère privée et l’anonymat de ses citoyens et ne cherche pas à les identifier. En cas de doute, la liberté de l’individu doit l’emporter sur davantage de sécurité pour tous.

Ainsi, le Préposé fédéral à la protection des données et à la transparence appelle les entreprises et les pouvoirs publics à prendre acte de ces attentes pour des technologies respectueuses de la vie privée et à agir en conséquence. Il les invite à accompagner la croissance des données numériques à l’échelle mondiale d’investissements performants dans une structure assurant la conformité aux exigences de la protection des données.

Différend fiscal américain - plainte contre la décision du Département fédéral des finances

10.10.2018 - Le 5 octobre 2018, le Préposé fédéral à la protection des données et à la transparence (PFPDT) a introduit un recours devant le Tribunal administratif fédéral contre la décision du Département fédéral des finances (DFF) du 20 septembre 2018. Par cette décision, le DFF a rejeté la demande du PFPDT visant à ce que l'Administration fédérale des contributions informe les tiers concernés par un transfert de données à l'étranger avant le transfert dans le cadre de la loi sur l’assistance administrative fiscale. Dans sa plainte, le PFPDT maintient sa demande concernant le droit à l'information.

Informations complémentaires:

Mise à jour sur le différend fiscal américain du 9 août 2018 (v. en bas)

Recommandation du 18 décembre 2017 (en allemand)

Extrait du 25e Rapport d’activités du 25 juin 2018 (PDF, 154 kB, 08.08.2018)

Mise à jour sur le différend fiscal américain

09.08.2018 - En raison de l'attente de la décision du département responsable, il existe actuellement une incertitude quant à la pratique effective de la transmission de données par l'Administration fédérale des contributions (AFC).

Dans sa procédure d’établissement des faits auprès de l’Administration fédérale des contributions (AFC), au sujet de la transmission de données dans le cadre de l’assistance administrative en matière fiscale entre la Suisse et les États-Unis, le PFPDT est arrivé à la conclusion que, dans le cadre de l’assistance administrative internationale en matière fiscale, les personnes qui ne sont pas formellement visées par les demandes d’assistance et dont le nom doit être transmis ouvertement doivent être informées au préalable, conformément à l’art. 14, al. 2 de la loi sur l’assistance administrative fiscale. En conséquence, le 18 décembre 2017, dans une recommandation formelle, nous avons demandé que le droit à l'information soit pris en compte dans l'assistance administrative fiscale internationale.

Le 18 janvier 2018, l’AFC a rejeté notre recommandation, et nous avons donc soumis l’affaire le 13 février 2018 au Département fédéral des finances (DFF) pour décision. Une telle décision n’a pas encore été prise. Dès connaissance de la position du DFF nous pourrons décider d'un éventuel recours devant le Tribunal administratif fédéral. Le PFPDT a demandé au département responsable de rendre rapidement une décision dans l'intérêt des personnes concernées.

Informations complémentaires:

Recommandation du 18 décembre 2017 (en allemand)

Extrait du 25e Rapport d’activités du 25 juin 2018 (PDF, 154 kB, 08.08.2018)

25^e Rapport annuel 2017/2018: l'autodétermination avant la sécurité

25.06.2018 - Le suivi des grands projets numériques demeure au cœur de l’activité du PFPDT. La loi e-ID fondant l’utilisation d’une SwissID, le rapport d’évaluation des risques liés à l’utilisation du numéro AVS comme identifiant personnel universel, les conditions d’utilisation de la billetterie électronique (billettique) ou des applications dans le domaine des transports publics illustrent cette priorité. En qualité d’autorité de surveillance, le PFPDT a dû intervenir contre le traitement de données relevant de l’assurance de base des caisses-maladie et faire face à des fuites de données dans plusieurs grandes entreprises.
Dans le domaine de la transparence, le PFPDT a été en mesure d’améliorer significativement l’efficacité de la procédure de médiation et a pris acte de la volonté unanime du Conseil national de garantir la transparence des marchés publics à l’avenir aussi, et de veiller ainsi à ce que le principe de la transparence ne soit pas foulé aux pieds.

Continuer...

Le Conseil national insiste sur la transparence dans les marchés publics

18.06.2018 - Le Conseil national a tenu à l’unanimité à maintenir les marchés publics dans le champ d’application du principe de la transparence. Cette décision s’est esquissée la dernière semaine de la session d’été lors de la discussion par article de la révision totale de la loi fédérale sur les marchés publics (LMP). Le Conseil national a ainsi refusé la limitation du principe de la transparence proposée dans le projet du Conseil fédéral.

Continuer...

Infrastructure ferroviaire: le parlement
décide l’exception à la loi sur la transparence

30.05.2018 - Après le Conseil national aussi le Conseil des États veut l’exclusion de l’activité de surveillance de l’Office fédéral des transports (OFT) en matière de sécurité de la loi sur la transparence et rejoint la position du Conseil fédéral. Le PFPDT prend note de cette décision.

Continuer...

Decathlon Suisse – le PFPDT ouvre une procédure d’établissement des faits

07.05.2018 - Le PFPDT a noté que Decathlon Suisse exige pour tout achat de marchandises dans ses magasins que les clients communiquent certaines coordonnées. Suite à un premier échange de correspondance avec Decathlon Suisse, il est arrivé à la conclusion que le traitement de données par Decathlon nécessite un éclaircissement approfondi sur certains points. C’est pourquoi il a, en date du 3 mai 2018, ouvert une procédure d’établissement des faits selon l’art. 29 LPD.

Le Préposé fédéral à la protection des données a émis une recommandation concernant le programme de bonus «Helsana+»

27.4.2018 – L’application « Helsana+ » traite les données des clients qui ne disposent que de l’assurance de base auprès du groupe Helsana à des fins de remboursement partiel de leurs primes. Faute de base légale, le Préposé a recommandé de cesser ce traitement.

Continuer...

Affaire Facebook/Cambridge Analytica: procédures en cours dans l'UE et aux USA

12.04.2018 - Dans le cadre de l'application "This is your digital life" utilisée par un scientifique anglais, l'accès non autorisé aux données personnelles de clients peu méfiants de la plate-forme sociale Facebook s'est produit en 2015. Les données ont été traitées par Cambridge Analytica à l'approche des élections dans le but de ce que l'on appelle le microciblage afin de s'adresser spécifiquement aux électeurs potentiels avec des messages individuels.

Continuer...

Rapport d'évaluation essai pilote procédure de médiation (2017)

10.04.2018 - Afin d’accélérer la procédure de médiation et de réduire le nombre de cas pendants, le PFPDT a mené un essai pilote au cours de l’année 2017. Le rapport d’évaluation montre que les mesures prises ont permis d’atteindre les objectifs fixés et que cet essai pilote a par conséquent été un succès. Au vu des résultats positifs, la nouvelle méthode sera intégrée dans la gestion ordinaire des procédures.

Continuer...

Sélection des arbitres pour le forum d'arbitrage en matière de protection des données selon le Swiss-US Privacy Shield - Premier appel à manifestation d'intérêt

Délai: 30 avril 2018

Continuer...

La Commission du CN veut continuer à garantir la transparence dans le cadre des marchés publics

28.03.2018 - La Commission de l’économie et des redevances du Conseil national (CER-N) a, le 27 mars 2018, clôt la discussion par article de la révision totale de la loi fédérale sur les marchés publics (LMP). Elle rejette la proposition du Conseil fédéral, qui prévoyait de supprimer l’accès aux documents relatifs aux marchés publics, tel que garanti par la loi sur la transparence. Avec cela, elle renforce l’objectif de transparence tel que prévu dans le projet de révision

Continuer...

Développement dans l’affaire Swisscom

12.02.2018 - Après avoir été informé le 9 février 2018 d'un cas d'accès prétendument non autorisé aux données d'un client de Swisscom, le PFPDT a requis que Swisscom prenne position le jour-même, en application de l'article 29 alinéa 2 LPD.

Les premières enquêtes de Swisscom n'ont pas confirmé de lien de causalité avec le vol de données signalé le 7 février 2018. Le PFPDT recherche des informations complémentaires auprès de Swisscom en ce qui concerne le risque de dommages indirects éventuels.

Accès indu à des coordonnées de clients chez Swisscom

Berne, 07.02.2018 – Swisscom a informé le PFPDT que des accès indus aux coordonnées d’environ 800‘000 clients ont eu lieu au cours de l’automne 2017. A sa connaissance, sont essentiellement concernés : le nom, le prénom, l’adresse, la date de naissance et le numéro de téléphone de titulaires privés de téléphones portables ainsi que de quelques abonnés au réseau fixe.

Continuer...

Infrastructure ferroviaire: la Commission du Conseil national veut une exception à la loi sur la transparence

Berne, 18.01.2018 – La Commission des transports et des télécommunications du Conseil national a, le 16 janvier 2018, repris la discussion par article du projet «Organisation de l’infrastructure ferroviaire». Dans ce cadre, la Commission a rejoint la position du Conseil fédéral et s’est exprimée en faveur d’une exclusion de l’activité de surveillance de l’Office fédéral des transports (OFT) en matière de sécurité de la loi sur la transparence. Le PFPDT prend note de cette décision.

Continuer...

Échelonnement de la révision de la LPD: la protection des droits fondamentaux doit être préservée

12.01.2018 – La Commission des institutions politiques du Conseil national (CIP-N) est entrée en matière hier sur la révision totale de la loi sur la protection des données (LPD). Parallèlement, elle a décidé de scinder la révision en deux étapes. Le PFPDT exige que la procédure échelonnée permette, outre une adoption accélérée des aspects relatifs aux accords de Schengen, une mise en œuvre rapide du texte révisé dans son intégralité.

Continuer...

Fuite de données dans une société de recouvrement de créances – le PFPDT ouvre une procédure

05.01.2018 - Selon un article publié dans le Süddeutsche Zeitung du 27 décembre 2017, l'entreprise de recouvrement EOS a été victime d'une fuite de données l'année dernière, au cours de laquelle plusieurs gigaoctets de données personnelles ont été transmises. Selon cet article, les patients de médecins suisses ont été particulièrement affectés. L'agence de recouvrement a informé le PFPDT de la fuite de données présumée peu avant la publication de l'article concerné. Afin de clarifier les aspects relatifs à la protection des données, le PFPDT a ouvert, en date du 28 décembre 2017, une procédure d’établissement des faits à l’encontre d’EOS Suisse.

En même temps, il rappelle aux médecins qu'ils ne peuvent transmettre à des tiers que les données de leurs patients qui sont effectivement nécessaires à la facturation ou au recouvrement. S'ils transmettent de manière injustifiée des données médicales de leurs patients à des tiers, ils sont punissables.

Règlement général de l'UE sur la protection des données: les conséquences pour la Suisse

14.12.2017 - Le nouveau Règlement européen sur la protection des données (RGPD) entrera en vigueur le 25 mai 2018 dans toute l’Union européenne (UE). À partir de cette date, le RGPD sera directement applicable à tous les acteurs actifs sur le territoire de l’Union européenne. Les nouvelles règles consistent à donner aux citoyens plus de contrôle sur leurs données personnelles, à responsabiliser davantage les entreprises tout en réduisant leurs charges déclaratives et à renforcer le rôle des autorités de protection des données. Ce texte aura des répercussions directes sur un grand nombre d’entreprises suisses.

Le RGPD et ses conséquences sur la Suisse (PDF, 871 kB, 16.03.2018)

La protection des données lors des campagnes politiques

19.10.2017 - Lors d'élections et de votations, les acteurs politiques recourent de plus en plus à des instruments numériques pour transmettre de manière plus ciblée leurs messages aux citoyens. Dans ce cadre, les partis politiques ainsi que les associations doivent préserver la vie privée des personnes concernées et respecter leur droit à l'autodétermination informationnelle. Le présent feuillet thématique du PFPDT expose les différentes règles de protection des données devant être respectées en cas d'utilisation de tels outils lors de votations et d'élections.

Lien au feuillet thématique

Le PFPDT examine le programme de bonus «Helsana+»

12.10.2017 - Le PFPDT a pris connaissance du nouveau programme de bonus «Helsana +», dont l'objectif est d'encourager les assurés à mener une vie plus saine. Le programme a été lancé le 25 septembre 2017. Pour vérifier la conformité des traitements de données à cet égard, le PFPDT a ouvert une procédure d'établissement des faits le 11 octobre. L'une des questions se posant avec ce programme est celle de savoir si des données émanant de l'assurance de base sont traitées.

Plus d'informations à ce sujet

Utilisation du numéro AVS comme identifiant personnel: évaluation des risques

03.10.2017 - Afin d'approfondir davantage les risques spécifiques aux identificateurs, l'Office fédéral de la justice (OFJ) et le PFPDT ont conjointement donné un mandat externe en vue d'une évaluation des risques. Celle-ci devait préciser en particulier si des risques - et, le cas échéant, quel type de risques - peuvent survenir lors de l'utilisation du numéro AVS et d'identificateurs alternatifs. L'étude, menée par Monsieur David Basin, professeur de sécurité de l'information à l'EPF de Zurich, est maintenant accessible en ligne.

Le mandat d'effectuer une analyse des risques résulte du fait que, par le passé, le Parlement s'est trouvé confronté à plusieurs reprises à la question de l'utilisation du numéro AHV en tant qu'identifiant de personne en dehors du domaine de l'assurance sociale. Ce fut le cas dernièrement dans le cadre du projet de révision du registre foncier (14.034 CC. Enregistrement de l'état civil et registre foncier). La Commission des affaires juridiques du Conseil national procédera de nouveau à son examen à la fin d'octobre 2017. Auparavant, le 1er février 2017, le Conseil fédéral a donné le mandat d'élaborer un projet de loi dont l'objectif est de faciliter l'utilisation du numéro AVS par toutes les collectivités fédérales, cantonales et communales également en dehors du domaine des assurances sociales.

Évaluation des risques de l’utilisation du numéro AVS, résumé (en français) (PDF, 333 kB, 19.04.2018)

Évaluation des risques de l’utilisation du numéro AVS, chapitre 5 (en français) (PDF, 466 kB, 19.04.2018)

Message concernant la révision de la loi sur la protection des données: appréciation du PFPDT

15.09.2017 - Le développement fulgurant des technologies d’information et de télécommunication et la numérisation de la société qu’il entraîne dans son sillage ont imposé une refonte des législations en matière de protection des données du Conseil de l’Europe et de l’Union européenne, refonte qui a à son tour nécessité la révision totale de la loi fédérale sur la protection des données, en vigueur depuis 1993. Le projet de loi présenté par le Conseil fédéral vise à renforcer la protection des données, au travers notamment d’une amélioration de la transparence des traitements et du contrôle que les personnes concernées peuvent exercer sur leurs données. Il vise en outre à assurer le maintien de l’équivalence du niveau de protection entre la Suisse et l’UE. L’adéquation de ce niveau de protection revêt une importance capitale notamment pour l’économie suisse, d’autant plus que le nouveau règlement général de l’UE sur la protection des données, qui entrera en vigueur le 25 mai 2018, aura des répercussions directes sur de nombreuses entreprises suisses.

Continuer...

Externalisation de la facturation dans le domaine médical: les prestataires veulent mieux informer les patients

01.09.2017 - Le PFPDT a écrit à la mi-août 2017 à deux entreprises qui assurent les opérations de facturation pour le compte de médecins afin de leur demander de faire un effort de transparence à l'égard de leurs patients, qui ne savaient pas toujours de quelle manière étaient traitées les données les concernant et si elles étaient transmises à des tiers. Ces deux entreprises, soit la Caisse des médecins et Swisscom Health, se sont déclarées disposées à mieux informer leurs patients, en publiant sur leur site Internet les règlements et autres éléments de contrat applicables aux différentes prestations concernées. Les deux entreprises soumettront prochainement au PFPDT les mesures qu'elles se proposent de mettre en œuvre pour atteindre cet objectif.

Guide relatif au Swiss-US Privacy Shield

24.08.2017 - Le PFPDT a élaboré une brochure pratique au sujet du Swiss-US Privacy Shield. Elle informe de manière simple et compréhensible sur les obligations des entreprises certifiées, les droits des personnes concernées et comment ces dernières peuvent déposer une réclamation.

Swiss-US Privacy Shield Guide (PDF, 180 kB, 06.12.2017)

Transmission des données aux États-Unis

Externalisation dans le domaine médical: le Préposé exige plus de transparence

17.08.2017 - Dans le domaine de la santé, beaucoup de médecins confient la facturation des prestations à des sociétés spécialisées, comme la Caisse des Médecins ou Swisscom Health. Pour garantir la protection de la sphère privée, il est important que ces sociétés ne traitent les données des patients qu’aux fins prévues. Elles sont en outre tenues d’expliquer clairement ce qu’il advient des données transmises par les médecins.

À cet égard, le Préposé a constaté que la situation actuelle devait être améliorée. Pour renforcer la transparence pour les patients, il a demandé cette semaine aux sociétés de facturation de publier, conjointement avec les conditions générales et les règlements de traitement, les clauses-types concernant le traitement des données. En effet, ces clauses n’étaient jusqu’à présent que partiellement, voire pas du tout, publiées. Le Préposé se réserve d’examiner ultérieurement les clauses qui pourraient être problématiques du point de vue de la protection des données.

Externalisation de la facturation dans le domaine médical (24e rapport d'activités)

Rapport d'activités 2016/2017

26.06.2017 - Le préposé fédéral à la protection des données et à la transparence présente son rapport d'activités pour la période du 1er avril 2016 au 31 mars 2017.

Rapport d'activités 2016/2017 (PDF, 1 MB, 26.06.2017)

Communiqué de presse conférence annuelle PFPDT 2017 (PDF, 39 kB, 26.06.2017)

Résumé rapport d'activités 2016/2017 (PDF, 34 kB, 26.06.2017)

Sociétés d’informations sur la solvabilité: le Tribunal administratif fédéral protège la sphère privée des personnes concernées

11.05.2017 - Dans le cadre de la procédure engagée contre la société d'informations sur la solvabilité Moneyhouse, le Tribunal administratif fédéral a rendu une décision déterminante dans le contexte actuel de la numérisation, en imposant des limites claires à la mise en relation d'informations permettant l'établissement de profils ainsi qu'à leur publication.

Continuer...

Navigation

PFPDT

Recherche

Breadcrumb

Actualités

Exigences de protection des données pour la collecte de données sur la santé par des acteurs privés dans le cadre de la lutte contre la pandémie

Recommandations du PFPDT dans le cadre du principe de la transparence

Collecte des coordonnées : les exploitants doivent garantir la protection des données

28 septembre: International Day for Universal Access to Information

Vers une protection des données modernisée

Dispositions sur le traitement des données dans la nouvelle loi sur la police douanière insuffisantes

Révision de la LAMal: PFPDT pour la transparence dans les modèles de prix

Arrêt de la Cour de justice de l’Union européenne (CJUE) sur les clauses contractuelles types européennes et le bouclier de protection des données entre l'UE et les États-Unis (EU-US Privacy Shield)

Update Proximity Tracing App: La sécurité technique de l’appli SwissCovid est confirmée

Update Proximity Tracing App

Update Proximity Tracing App

Update «Covid proximity tracing App»

Le développement du projet de « Covid proximity tracing App » de l’EPFL va dans le sens du respect de la protection des données

Évaluation sommaire du projet de « Covid Proximity Tracing App » de l’EPFL

Coronavirus: plans de protection

Update Libra

4e mise à jour concernant le projet Libra

3e mise à jour concernant le projet Libra

2e mise à jour concernant le projet Libra

1ère mise à jour concernant le projet Libra

Mesures de sécurité pour les conférences audio et vidéo

Mise à jour - Protection des données dans le cadre de l’endiguement du coronavirus :

L’accès de l’OFSP aux données visualisées de Swisscom est conforme au droit de la protection des données

Protection des données dans le cadre de l’endiguement du coronavirus

Mise à jour concernant Clearview

Collecter des données faciales sans le consentement des intéressés constitue une atteinte à leur personnalité

Déclaration du PFPDT concernant l’application Clearview

Nos recommandations à l’usage des utilisateurs de réseaux sociaux:

Quelles sont les conséquences du Brexit dans le domaine des flux transfrontières de données ?

Informations supplémentaires :

La deuxième chambre conclut la consultation sur la loi fédérale à la protection des données (LPD)

Le Conseil des Etats examinera la loi sur la protection des données à la session d’hiver

Facebook lance de nouvelles fonctionnalités à l’occasion des élections fédérales

La révision totale de la LPD est transmise à la Commission du Conseil des Etats

Différend fiscal américain - Le Tribunal administratif fédéral protège les droits fondamentaux

LPD : le Conseil national se penchera le premier sur le projet de révision totale

Postfinance : inégalité de traitement des clients suisses en vertu du droit en vigueur

26e Rapport annuel 2018/19: la Suisse doit maintenir son niveau de protection des données

Helsana+: le jugement entre en force

Helsana+: la collecte de données auprès de l'assurance de base était illégale

Nouvelle LPD Schengen en vigueur

Journée de la protection des données 2019 - 3 priorités pour la Confédération et les cantons: élections, police, numéro AVS

2e Journée du digital – Les entreprises doivent investir dans des technologies conformes aux exigences de la protection des données

Différend fiscal américain - plainte contre la décision du Département fédéral des finances

Mise à jour sur le différend fiscal américain

25e Rapport annuel 2017/2018: l'autodétermination avant la sécurité

Le Conseil national insiste sur la transparence dans les marchés publics

Infrastructure ferroviaire: le parlement décide l’exception à la loi sur la transparence

Decathlon Suisse – le PFPDT ouvre une procédure d’établissement des faits

Le Préposé fédéral à la protection des données a émis une recommandation concernant le programme de bonus «Helsana+»

Affaire Facebook/Cambridge Analytica: procédures en cours dans l'UE et aux USA

Rapport d'évaluation essai pilote procédure de médiation (2017)

Sélection des arbitres pour le forum d'arbitrage en matière de protection des données selon le Swiss-US Privacy Shield - Premier appel à manifestation d'intérêt

Délai: 30 avril 2018

La Commission du CN veut continuer à garantir la transparence dans le cadre des marchés publics

Développement dans l’affaire Swisscom

Accès indu à des coordonnées de clients chez Swisscom

Infrastructure ferroviaire: la Commission du Conseil national veut une exception à la loi sur la transparence

Échelonnement de la révision de la LPD: la protection des droits fondamentaux doit être préservée

Fuite de données dans une société de recouvrement de créances – le PFPDT ouvre une procédure

Règlement général de l'UE sur la protection des données: les conséquences pour la Suisse

La protection des données lors des campagnes politiques

Le PFPDT examine le programme de bonus «Helsana+»

Utilisation du numéro AVS comme identifiant personnel: évaluation des risques

Message concernant la révision de la loi sur la protection des données: appréciation du PFPDT

Externalisation de la facturation dans le domaine médical: les prestataires veulent mieux informer les patients

Guide relatif au Swiss-US Privacy Shield

Externalisation dans le domaine médical: le Préposé exige plus de transparence

Rapport d'activités 2016/2017

Sociétés d’informations sur la solvabilité: le Tribunal administratif fédéral protège la sphère privée des personnes concernées

4^e mise à jour concernant le projet Libra

3^e mise à jour concernant le projet Libra

2^e mise à jour concernant le projet Libra

1^ère mise à jour concernant le projet Libra

26^e Rapport annuel 2018/19: la Suisse doit maintenir son niveau de protection des données

2^e Journée du digital – Les entreprises doivent investir dans des technologies conformes aux exigences de la protection des données

25^e Rapport annuel 2017/2018: l'autodétermination avant la sécurité

Infrastructure ferroviaire: le parlement
décide l’exception à la loi sur la transparence